• No results found

Internal audit: waker, slaper of dromer?

N/A
N/A
Info
Downloaden
Protected

Academic year: 2021

Share "Internal audit: waker, slaper of dromer?"

Copied!
2
0
0

Bezig met laden.... (Bekijk nu de volledige tekst)

Download het nu ( 2 pagina )

Hele tekst

(1)

Internal audit: waker, slaper of dromer?

Edo Roos Lindgreen, Daco Daams

Received 22 December 2019 | Accepted 21 January 2020 | Published 22 April 2020

Bijna elke Nederlander kent de Hondsbossche Zeewering, de machtige dijk bij Petten die Noord-Holland beschermt tegen de zee, inmiddels ingekapseld door een nieuw aan-gelegde duinenrij. Wat veel mensen niet weten, is dat lan-dinwaarts nog een dijk ligt, die in de zestiende eeuw is aangelegd en de slaper wordt genoemd. Hij biedt bescher-ming als de hoofddijk doorbreekt en geeft de bevolking in dat geval tijd zich uit de voeten te maken. Tot in de jaren zeventig lag daarachter een nog oudere dijk, de dromer, maar die is inmiddels afgegraven. De waker, de slaper en de dromer. Zij kwamen ter sprake tijdens een vergade-ring van de programmaraad van de Executive M.Sc. of Internal Auditing aan de Universiteit van Amsterdam. Daar werden de voor- en nadelen van het “three lines of defense”-model besproken. Volgens dit model is de eer-ste verdedigingslinie het verantwoordelijk management; de tweede linie wordt gevormd door de verbijzonderde organisatieonderdelen die zich bezighouden met risicobe-heersing, compliance en beleid; de derde linie ten slotte is de interne auditfunctie. De waker, de slaper en de dromer?

Ofschoon de oorsprong ervan onduidelijk is, wordt het “three lines of defense”-model al meer dan twintig jaar toegepast. Het is in 2013 door het IIA (2013) beschreven in een position paper, onder meer om de toen heersende versnippering van risicomanagement tegen te gaan. In de jaren daarna vond het model zijn weg in het COSO-mo-del (Anderson 2015) en werd ondanks enige tegendruk (Paape 2013) wereldwijd omarmd (BIS 2015).

Ondanks of wellicht dankzij zijn populariteit is de laatste jaren kritiek rond het model ontstaan. Chambers (2018) noemt een aantal nadelen. Het model zou te kunst-matig zijn; de rigide afgrenzing van de drie verschillen-de ververschillen-dedigingslinies leidt tot silo’s en zou niet goed zijn toegesneden op de dynamische dagelijkse praktijk, waarin het risicobeeld voortdurend verandert en waarin samenwerking tussen disciplines nodig is. Ten slotte ligt de nadruk in het model uitsluitend op het beschermen, en niet zozeer op het creëren van waarde.

Davies and Zhivitskaya (2018) gaan in op de effectiviteit van het “three lines of defense”-model vanuit het perspectief

van risicomanagement in de financiële sector. Zij beschrij-ven drie mogelijke implementatievormen van het model: a. Het “offense and defense”-model, waarbij de eerste,

tweede en derde lijn lijnrecht tegenover elkaar staan. Dit model is volgens de auteurs in de praktijk niet al-tijd goed werkbaar, omdat het kan leiden tot onduide-lijkheid over de taakverdeling, territoriumgedrag en suboptimalisatie.

b. Het “partnership”-model, waarbij de drie lijnen inten-sief samenwerken. Dit model leidt vaak tot goede resul-taten, maar biedt niet altijd voldoende waarborgen voor een onafhankelijke invulling van risicomanagement. c. Het “policy-and-policing”-model, waarbij de tweede

lijn de kaders stelt waar de eerste lijn zich aan moet houden, en hier ook toezicht op houdt. Dit is de meest voorkomende variant, die als belangrijkste nadeel heeft dat de eerste lijn tegenstrijdige of schijnbaar tegenstrij-dige aanbevelingen of aanwijzingen kan krijgen. Ook sommen de auteurs een aantal kritische noten op, maar zij doen dat veel scherper dan Chambers (2018). Zo noemen zij onder meer onduidelijkheid in de verdeling van taken en verantwoordelijkheden, die kan leiden tot chao-tische processen voor risicobeheersing en een vals gevoel van veiligheid. Ook signaleren zij een afgenomen gevoel van verantwoordelijkheid voor risicobeheersing in de busi-ness. Volgens de auteurs zit de tweede lijn in de praktijk vaak te dicht op de winstgedreven eerste lijn, en is daar-mee onvoldoende onafhankelijk, en is de derde lijn vaak te laat om nog van betekenis te kunnen zijn. Ten slotte wordt genoemd, dat een strikte toepassing van het “three lines of defense”-model in de praktijk kan leiden tot excessieve bureaucratie en een minder aantrekkelijke werkomgeving.

Tot zover de theorie. Hoe zit het met de appreciatie van het “three lines of defense”-model in de praktijk? In-ternal audit professionals zien geen reden om afscheid te nemen van het model. Uit persoonlijke gesprekken met leidinggevenden van interne auditfuncties van multinati-onals door de auteurs blijkt, dat de meesten de hierboven

Copyright Edo Roos Lindgreen, Daco Daams. This is an open access article distributed under the terms of the Creative Commons Attribution License (CC-BY-NC-ND 4.0), which permits unrestricted use, distribution, and reproduction in any medium, provided the original author and source are credited.

Maandblad voor Accountancy en Bedrijfseconomie 94(3/4) (2020): 81–82 DOI 10.5117/mab.94.49595

(2)

https://mab-online.nl

Edo Roos Lindgreen & Daco Daams: Internal audit: waker, slaper of dromer? 82

genoemde bezwaren wel onderschrijven. Maar evenals Davies and Zhivitskaya (2018) merken deze leidingge-venden op dat het model zich nu eenmaal gevestigd heeft en een intuïtief aantrekkelijk raamwerk vormt om naar ri-sicobeheersing te kijken en vooral ook om de doelstelling en werkzaamheden van de interne auditfunctie helder te maken. Niet overboord gooien dus, maar toepassen op een manier die past bij de huidige tijd en bij de doelstel-lingen van de organisatie.

In elk geval zag de IIA voldoende reden om het model te herzien (Chambers 2018). Een nieuw position paper werd aanvankelijk eind 2019 verwacht, maar een eer-ste concept hiervan riep veel reacties op, die natuurlijk zorgvuldig moeten worden verwerkt. De presentatie van het herziene model zal dus op zijn vroegst medio 2020 plaatsvinden. Onze persoonlijke verwachting is dat het model intact blijft maar wel iets versoepeld wordt, met enkele suggesties om de samenwerking tussen de eerste, tweede en derde lijn te verbeteren.

Daarmee komen we op de vraag die in de titel van dit essay wordt gesteld – internal audit: waker, slaper of dro-mer? Deze vraag is net als het “three lines of defense”-mo-del zelf misschien wel pakkend, maar tegelijkertijd ook iets te plat. Om in de beeldtaal van zeeweringen te blijven:

de internal audit is geen dijk – het is eerder zo dat internal audit toezicht houdt op de beheerder van de dijk en daar-over rapporteert aan de dijkgraaf. Waarbij zich direct de vraag opdringt: als het fout gaat en het land onder water staat, kan de buitenwacht de beheerder en de dijkgraaf dan nog verantwoordelijk stellen, of kunnen zij zich uit de voe-ten maken voor het wassende water en zich verschuilen achter het niet-geïnformeerd zijn door de internal auditor?

De voorlopige conclusie is dat het “three lines of de-fense”-model misschien zijn beperkingen kent, maar geen slecht instrument is om de samenwerking tussen eerste, tweede en derde lijn vorm te geven en internal au-dit een actievere rol te geven – een rol die de eerste lijn echter geenszins van zijn verantwoordelijkheid ontslaat. Het lijkt al met al passend af te sluiten met een fragment van Roland Holst (1948), waarin een dromer verlangt naar de waker:

“Ik kon vannacht niet slapen, zoo heb ik gesmacht naar de eenige aardsche stem die mij nog kan verlossen: naar dat groot aangaan van de zee bij de Hondsbossche, de lange wering in het noorden van den nacht. Wel had een stem het buiten over heide en bosschen – maar heeft de nachtwind ooit een balling troost gebracht?”

„ Prof. dr. E.E.O. Roos Lindgreen RE is hoogleraar Data Science in Auditing aan de Universiteit van Amsterdam. Hij is programmadirecteur van het Executive Programme of Digital Auditing en de Executive M.Sc. of Internal Auditing en geeft daarnaast leiding aan het Institute of Executive Programmes van de Amsterdam Business School.

„ D. Daams RA is managing director Business Risk & Audit bij Randstad Holding. Daarnaast is hij vice-voorzitter van het bestuur van de Ledengroep Interne- en Overheidsaccountants (LIO) van de Koninklijke Nederlandse Be-roepsorganisatie van Accountants (NBA), lid van het curatorium voor de Executive Programme of Digital Auditing (RE) en de postmaster Accountancy (RA), alsmede de programmaraad van de Executive M.Sc. of Internal Auditing (RO) van de Universiteit van Amsterdam.

Literatuur

„ Anderson DJ, Eubanks G (2015) Leveraging COSO across the three lines of defense. COSO/IIA. https://www.coso.org/Documents/CO-SO-2015-3LOD.pdf

„ BIS [Bank for International Settlements, Basel Committee on Bank-ing Supervision] (2015) Corporate governance principles for banks. http://www.bis.org/bcbs/publ/d328.htm

„ Chambers R (2018) Will the IIA redraw the lines of defense? https:// iaonline.theiia.org/blogs/chambers/2018/Pages/Will-The-IIA-Re-draw-the-Lines-of-Defense.aspx

„ Davies H, Zhivitskaya M (2018) Three lines of defence: A robust or-ganising framework, or just lines in the sand? Global Policy 9(Sup-plement 1): 34–42. https://doi.org/10.1111/1758-5899.12568

„ Paape L (2013) Rabo en het three lines of defence model. MCA 2013(6): 28–29. https://www.iia.nl/SiteFiles/MCA201306_INT.pdf

„ Roland Holst A (1948) In ballingschap. https://www.dbnl.org/titels/ titel.php?id=rola001inba01

Referenties

Download het nu ( PDF - 2 pagina - 236.18 KB )

GERELATEERDE DOCUMENTEN

Internal Audit Ambition Model

Internal audit activity's department plan aligned with the audit plan and IPPF Internal audit operating budget. Internal audit activity's department plan is aligned with

Internal Audit:

Sources: The Pulse of Internal Audit survey: © 2015 The IIA Audit Executive Center conducted in collaboration with the 2015 Common Body of Knowledge Study, © 2015 The IIA and The

The Internal Audit Ambition Model

Internal auditing recognized as key agent of change Sufficiently develop the professional and leadership capacity of the IA activity to provide foresight and serve as a catalyst

INTErNAL AUDIT

At the top-end of the organisation, the Head of Internal Audit should focus on identifying Bribery and Corruption issues (ISO 37001), which represent a major risk for

HET THREE LINES MODEL VAN HET IIA

 Communiceert onafhankelijke en objectieve assurance en adviezen aan het management en het bestuursorgaan met betrekking tot de toereikendheid en effectiviteit

THE IIA’S THREE LINES MODEL

 Communicates independent and objective assurance and advice to management and the governing body on the adequacy and effectiveness of governance and risk management

Internal Audit

Ten slotte is getoetst of internal auditors beter in staat zijn om de juiste grondoorzaak te achterhalen als zij de Five why’s-methode in samenspel met het

Internal Audit

1.1 Demonstrably consider a scope that covers all legal entities and activities under the control of the Organisation and ensure that, in the first year that an activity or